La protection des données personnelles dans le secteur des télécoms[en][de] 

La directive sur la vie privée et les communications électroniques est le texte de loi le plus récent à s'ajouter au paquet télécoms qui comprend quatre autres directives. Celle-ci devait être incorporée dans le droit interne des Etats membres de l'UE avant le 31 octobre 2003 tandis que les quatre autres directives avait le 25 juillet 2003 pour date limite de transposition.

L'objectif sous-jacent de la directive sur la vie privée et les communications électroniques est de permettre la libre circulation des données à caractère personnel légalement obtenues au sein des Etats membres de l'UE. Elle pose les fondements de la confidentaialité comme principe fondamental et applicable à toutes les formes de communications électroniques, y compris par internet et par téléphone. Par conséquent, toute forme d'interception ou de stockage des communications privées sans l'assentiment préalable des utilisateurs doit être interdit (système d'opt in), que l'utilisateur soit un particulier ou une entreprise. 

Les aspects les plus débattus et controversés de la directive se rapportent au système d'opt in applicable aux pratiques de marketing direct. Le régime introduit par la directive exige que les vendeurs directs demandent une autorisation avant d'envoyer des messages spontanés aux clients potentiels (des emails ou des SMS par exemple). Ce système est totalement opposé au régime nord-américain d'opt-out qui permet ces pratiques de commercialisation jusqu'à ce que le destinataire en demande l'arrêt.

Le régime d'opt in de l'UE est considéré comme offrant des garanties plus élevées contre le spam ou le courrier électronique non sollicité qui minent la confiance des consommateurs dans les communications et le commerce électroniques. Au contraire, le régime d'opt-out  américain est souvent décrit comme une légalisation du spam (voir la loi américaine CAN-spam de 2003).

Néanmoins, les entreprises européennes se trouvent confrontées à des situations difficiles lorsqu'elles cherchent à se conformer aux exigences de la directive de l'UE. D'après la directive, des exceptions à la règle peuvent être accordées aux entreprises qui ont déjà obtenu les coordonnées de contact d'une personne dans le cadre de la vente d'un produit ou d'un service. Les activités de marketing dirigées vers ces personnes pourraient alors n'être permises que si elles se rapportent à des produits ou à des services semblables et si l'occasion est donnée aux clients de se "désincrire" facilement et gratuitement.

Jusqu'ici, l'interprétation de cette disposition par les Etats membres a différé sensiblement, engendrant une confusion sur la nature des pratiques tolérés. En effet, les entreprises se sont vues accorder des degrés variables de protection dans l'UE, ce qui a rendu leur mise en conformité avec la directive difficile.

La directive sur la vie privée et les communications électroniques prévoit également des conditions spécifiques pour l'installtion de "cookies" sur les ordinateurs. Les cookies sont de petits fichiers électroniques automatiquement stockés sur les ordinateurs des individus quand ceux-ci surfent sur internet. Dans leur forme légitime, ils servent de dispositifs de localisation pour les opérateurs de site internet, leur permettant de coordonner leurs interactions avec les utilisateurs. Dans d'autres formes, parfois à la limite de la légalité, ils peuvent également aider les webmasters à situer et à identifier chaque visiteur différent d'un site web. Une fois qu'un visiteur a indiqué son identité (par exemple en remplissant un formulaire en ligne), ses visites ultérieures peuvent être détectées et suivies, révélant les comportements de "surf" et donnant lieu ainsi à une publicité directement personnalisée, envoyée par courrier électronique, y compris non sollicitée (spam).

Ici encore, la question centrale repose dans la légitimité de l'approche commerciale des clients. Ceux qui pensent agir de manière légitime dans leur utilisation des cookies à des fins de marketing direct se demandent comment les visiteurs pourraient se voir offrir la possibilité de refuser un cookie.

Une autre disposition de la directive sur la vie privée et les communications électroniques se rapporte à la conservation des données. D'après cette disposition, les entreprises fournissant des réseaux de télécommunications (par exemple les opérateurs de télécommunications) peuvent conserver des données liées au trafic (des appels téléphoniques et des courriers électroniques) dans le seul but de facturer. Ensuite, les données liées au trafic doivent être effacées ou rendues anonymes. Néanmoins, les autorités nationales de police peuvent exiger des opérateurs de réseau qu'ils conservent ces informations pour les enquêtes criminelles, à condition que cela soit fait dans le respect des droits fondamentaux des individus. En réalité, une directive distincte est actuellement en cours d'examen et prévoit de mettre un terme à ces règles strictes. Le nouveau texte exigera des opérateurs qu'ils conservent leurs données sur le trafic pendant une période allant jusqu'à 24 mois, ce qui, selon l'ONG Statewatch, est illégal et repose sur le faux prétexte de la lutte contre le terrorisme. Les opérateurs de télécommunications craignent quant à eux de devoir assurer les coûts considérables exigés par ces mesures. 

Le Bureau européen des unions de consommateurs (BEUC) est préoccupé par la pratique courante de la collecte de données et du profilage injustes des consommateurs dans le marketing en ligne à travers l'utilisation de cookies. Il salue la mise en place du système d'opt-in dans les communications en ligne comme un pas en avant réel.

La Chambre de commerce américaine estime que le système d'opt-in rendra difficile la pratique légitime du marketing direct sur internet. Elle prévoit que cela ait en définitive un impact préjudiciable sur le commerce électronique.

EMOTA, la fédération européenne des offres commerciales par courrier et de la vente à distance, craint que les emails légitimes soient bloqués comme du spam avec l'introduction du système d'opt-in de la directive sur la vie privée et les communications électroniques. L'organisation cite un rapport de Jupiter Research selon lequel les coûts de tels blocages passeront de 230 millions de dollars en 2003 à 419 millions en 2008. Ces coûts inclueraient les messages essentiels du commerce électronique tels que les newsletters/bulletins d'information et même les abonnements payants.

Les agences de police européennes critiquent quant à elles la législation actuelle relative au traitement des données dans l'UE. Elles estiment qu'il s'agit d'une question de conservation de données et non de protection des données. Elles font valoir que la directive existante de 1995 concernant le traitement des données à caractère personnel (entrée en vigueur en 1998) a rendu plus difficile le repérage par la police des criminels et la lutte contre les bandes criminelles en ligne. En vertu de la législation européenne existante, les agences de police sont contraintes de demander une autorisation pour chaque recherche électronique individuelle ou recherche de preuves. La durée pendant laquelle les entreprises sont autorisées à garder des données avant qu'elles ne doivent être détruites est également strictement réglementée.

Les groupes de défense des libertés civiles craignent qu'après le traité du Conseil de l'Europe sur la cybercriminalité, des pouvoirs excessifs soient dévolus aux forces de police dans les pays qui ont une histoire d'abus de pouvoir par les autorités de police. Ces ONG s'inquiètent notamment des dispositions liées à l'interception des communications électroniques, et redoutent que la protection des données à caractère personnel et le droit à l'anonymat puissent être remis en cause.

En matière de conservation des données, l'UNICE craint que les entreprises ne doivent supporter les coûts de la conservation des données à caractère personnel. Ces données pourraient comprendre à peu près tout, des relevés bancaires aux sites internet visités en passant par les données sur les passagers traversant les systèmes de péages autoroutiers informatisés. L'UNICE affirme s'être engagée à coopérer avec les autorités gouvernementales pour combattre le terrorisme mais elle souhaite que la vie privée des clients soit respectée et que les entreprises puissent continuer à se développer. Pour l'UNICE, les coûts de la conservation des données sont potentiellement néfastes pour les entreprises européennes et devraient donc être financés par les gouvernements.